Escolar Documentos
Profissional Documentos
Cultura Documentos
1405 Vetor Processo 274552 Loc 2022.YTYOC - OSRLP
1405 Vetor Processo 274552 Loc 2022.YTYOC - OSRLP
PAULO
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
2) Durante a vigência contratual, a CONTRATADA deverá atender número ilimitado de
incidentes de suporte, desde que relacionados aos serviços a serem executados.
ROBSON
3) O suporte técnico deverá ocorrer, pelo menos, em regime “8x5" (8 horas por dia, 5 CLEITON
NOVAK 25
/04/2022
dias por semana). SGSI TRT9
PAULO
ROBERTO
NUNES 25
/04/2022
Requisitos Temporais - Integrante Demandante: DSIR TRT9
7) O contrato terá vigência de 120 (cento e vinte) dias, sendo que todas as atividades
requisitadas contidas no contrato deverão ser executadas durante esse período.
1.2) Demais políticas podem ser acessadas pelo seguinte link: https://www.trt9.
jus.br/transparencia/transparenciaPoliticasTIC.xhtml
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
2) A CONTRATADA deverá guardar sigilo sobre dados e informações obtidos em
razão da execução dos serviços contratados ou da relação contratual mantida com o
ROBSON
CONTRATANTE. CLEITON
NOVAK 25
/04/2022
SGSI TRT9
3) A CONTRATADA deverá zelar para que todos os eventuais privilégios de acesso a PAULO
CELSO
GERVA 26
sistemas concedidos, informação e qualquer outro recurso do CONTRATANTE sejam /04/2022
SLC TRT9
utilizados exclusivamente na execução dos serviços e pelo tempo estritamente
essencial à realização deles.
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
6. Os documentos apresentados pela CONTRATADA na reunião deverão ser
entregues ao CONTRATANTE em formato PDF, assim como em formato
editável (DOC/DOCX); ROBSON
CLEITON
7. O CONTRATANTE deverá aprovar os documentos apresentados pela NOVAK 25
/04/2022
CONTRATADA em até 5 (cinco) dias úteis da realização da reunião; SGSI TRT9
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
9. Todas as fases dos testes de intrusão poderão ser acompanhadas e/ou
supervisionadas, a critério do CONTRATANTE, por membro destacado do corpo
técnico interno da organização; ROBSON
CLEITON
10. Qualquer software ou hardware necessário para a execução dos serviços será NOVAK 25
/04/2022
de responsabilidade do CONTRATADA; SGSI TRT9
envolvidas;
11.4) Identificação e classificação dos riscos das vulnerabilidades encontradas
de acordo com o impacto potencial.
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Reconhecimento
Utilizar sites de busca, como Google, para
através de Sites
descobrir informações disponíveis (ou
de Busca ROBSON
vazadas) de aplicações da CONTRATANTE. CLEITON
NOVAK 25
/04/2022
Buscar através de “ search engines ” SGSI TRT9
de injeção modelados.
(Obter o
máximo de Identificar versões de ativos envolvidos
i n f o r m a ç õ e s Identificação de (servidor web, servidor de aplicação, sistema
sobre os ativos v e r s õ e s ( operacional, banco de dados e CMS) para
contemplados) fingerprinting) correlação com as vulnerabilidades
conhecidas e documentadas.
Verificação de
Avaliar o suporte ao uso de tais protocolos e
Suporte a SSL /
da maneira como estão implementados.
TLS
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Verificar a aderência com boas práticas de
segurança por parte da configuração
Análise das descobertas dos ativos envolvidos (servidor ROBSON
CLEITON
NOVAK 25
Configurações da web, servidor de aplicação, sistema /04/2022
SGSI TRT9
Teste de
Identificar as contas de usuário padrão ou
descoberta de
combinações usuário/senha fáceis de
usuários comuns /
adivinhar.
padrão
Teste visando
Identificar os recursos da aplicação que não
contornar do
estejam adequadamente protegidos pelo
esquema de
esquema de autenticação.
autenticação
Testes de
Autenticação
Teste sobre Avaliar os métodos de redefinição
funções de /recuperação de "senhas esquecidas" e se a
a r m a z e n a m e n t o aplicação permite que o usuário armazene
(Avaliar os /redefinição de senhas no navegador (função "lembrar
esquemas e senhas senha").
controles de
autenticação)
Teste de
Verificar se as funções de logout e de uso
gerenciamento de
de cache pelo navegador estão
logout e cache do
adequadamente implementadas.
navegador
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Automated Public Turing test to tell
Teste sobre o Computers and Humans Apart").
CAPTCHA
ROBSON
CLEITON
NOVAK 25
/04/2022
SGSI TRT9
Analisar a presença/configuração de
cenários do tipo: Geradores de senha PAULO
ROBERTO
Teste sobre descartável ( One-time password ), NUNES 25
/04/2022
DSIR TRT9
autenticação em Dispositivos de identificação por criptografia,
múltiplas etapas Verificar as informações pessoais que
somente o usuário legítimo deveria saber e PAULO
CELSO
GERVA 26
etc. /04/2022
SLC TRT9
Cross Site
Manipular as entradas passando instruções
Scripting Refletido
maliciosas através de scripts destinados ao
/ Armazenado /
navegador da vítima.
baseado em DOM
Injeção de
instruções SQL / Manipular as entradas passando instruções
LDAP / ORM / maliciosas para serviços internos.
XML / SSI / XPath
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Injeção de código Manipular as entradas passando comandos
e comandos de para serviços que se comunicam com a
sistema aplicação ou diretamente para o sistema ROBSON
CLEITON
Testes d e operacional e operacional. NOVAK 25
/04/2022
de serviços
SGSI TRT9
Validação
Dados
PAULO
ROBERTO
Verificar a presença de vulnerabilidades que NUNES 25
/04/2022
DSIR TRT9
Estouro de buffer permitam a execução de ataques de estouro
(buffer overflow) de buffer (buffer overflow) sobre o servidor
PAULO
web. CELSO
GERVA 26
/04/2022
SLC TRT9
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
de estouro de buffer, entre outros, sobre o
Teste ao nível de servidor que hospeda o web service e as
conteúdo do XML aplicações que o utilizam.
ROBSON
CLEITON
NOVAK 25
/04/2022
SGSI TRT9
Teste de envio de
Avaliar se é possível enviar arquivos
arquivos
maliciosos à web services que recebem
maliciosos ao web
arquivos.
services SOAP
(Identificar vulne
rabilidades
Verificar a execução de ataques sobre
específicas de
Teste sobre APEX aplicações web tradicionais sobre as que
APEX (Oracle
utilizam APEX.
Application
Express)
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Avaliação do comportamento da aplicação
Teste d e Teste de fixação no que diz respeito a renovação e
g e r e n c i a m e n t o de sessão reutilização de atributos de controle. ROBSON
de sessões CLEITON
NOVAK 25
/04/2022
SGSI TRT9
PAULO
Identificação de Avaliação da exposição de atributos de ROBERTO
NUNES 25
/04/2022
variáveis de controle e possibilidade de manipulação dos DSIR TRT9
15. Caso algum teste solicitado não possa ser realizado, devido a escolha em
comum acordo da modalidade de pentest (Black, Gray ou White Box), o fato deve ser
informado pela CONTRATADA imediatamente após a reunião inicial.
2) Estão incluídos neste objeto o planejamento dos testes, a execução dos testes
utilizando ferramentas e conhecimentos especializados, clarificação de dúvidas
durante todo o processo, confecção de relatórios, apresentações para demonstração
de resultados, bem como todas as atividades necessárias à execução do objeto
durante a vigência contratual;
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
4) Os serviços executados pela CONTRATADA deverão observar as orientações e
técnicas de padrões internacionais tais como:
ROBSON
4.1) OSSTMM 3 (The Open Source Security Testing Methodology Manual); CLEITON
NOVAK 25
/04/2022
SGSI TRT9
3) O suporte técnico deverá ocorrer, pelo menos, em regime “8x5" (8 horas por dia, 5
dias por semana).
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
n) CompTIA PenTest+;
o) Global Information Assurance Certification (GIAC) Penetration Tester (GPEN);
p) Global Information Assurance Certification (GIAC) Web Application Penetration ROBSON
CLEITON
Tester (GWAPT); NOVAK 25
/04/2022
q) Global Information Assurance Certification (GIAC) Certified Intrusion Analyst (GCIA); SGSI TRT9
assinatura do contrato.
A execução dos serviços pela CONTRATADA será composta, em linhas gerais, pelas
seguintes atividades:
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Análise do Mercado de TI (ID 7457907)
Portal do Software Público Brasileiro:
ROBSON
CLEITON
Não aplicável ao serviço contratado. Trata-se de contratação de serviço de teste de NOVAK 25
/04/2022
penetração em rede. SGSI TRT9
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
Não aplicável ao serviço contratado. Trata-se de contratação de serviço de teste de
penetração em rede. Não há necessidade de adequação de nossa infraestrutura para
realização do teste. ROBSON
CLEITON
NOVAK 25
/04/2022
Transferência de Conhecimento: SGSI TRT9
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado